IT-sikkerhet
Stian Estil
Når du skal velge systemleverandør er det viktig å stille krav og spørsmål slik at du vet at de ivaretar systemets IT-sikkerhet.
Alle seriøse leverandører av skytjenester bør som et minimum:
Hvordan kan du sørge for det?
Slik er det skybaserte ERP-systemet Business NXT.
Velg de mest aktuelle leverandørene for bedriften din, og still godt forberedt i møtet med dem. Disse spørsmålene kan hjelpe deg med å kartlegge det viktigste.
Har leverandøren et kvalitetssystem som sikrer kvalitet i alle prosesser relatert til utvikling, test og leveranse av skytjenesten? Hva slags kvalitetssikringssystem har de for utvikling, test og leveranse av tjenesten, hva slags ISO-sertifiseringer gjennomføres, og har de uavhengige, jevnlige revisjoner av egen sikkerhet?
Pålitelige leverandører skal kunne redegjøre for sitt eget kvalitetssikringssystem og ha sertifiseringer av typen ISO 27001 og ISAE 3402 Type II.
Les mer: Styringssystem for informasjonssikkerhet.
Les mer: Slik styrker etiske hackere forretningssystemene gjennom vårt Bug bounty-program.
Og hvordan sørger de for det? Her bør det helst være egne selskaper eller avdelinger på plass, som spesialiserer seg på lovgivning og regelverk for leveranser av skytjenester.
En leverandør skal ha den juridiske kompetansen som kreves sånn at du kan senke skuldrene og vite at leverandøren fikser denne avgjørende delen.
Les mer: Sjekkliste på enkle IT-sikkerhetstiltak du som bedriftsleder kan gjøre i bedriften din.
Kryptering sørger for at dataene blir uleselige slik at de ikke kan misbrukes hvis de havner i feil hender. Krypteringsnøklene bør oppbevares på et trygt sted som bare leverandøren har tilgang til. Krypteringen bør også beskytte data, både når de overføres over nettverk (i transitt) og når de lagres (i hvile).
Det skal i utgangspunktet kun være deg som kunde som har tilgang til dine data.
Du tildeler brukerrettigheter for å regulere tilgangen til skytjenesten. Systemleverandøren har tilgang til dine data i support- og konsulentrelatert arbeid, det vil si der du gir dem tillatelsen for å løse en oppgave. Du skal alltid kunne regulere tilgangen.
Les mer: Datasikkerhet gjør at norske bedrifter velger skytjenester.
Sørg for at driftsleverandøren oppfyller de krav til informasjonssikkerhet og andre krav som følger av den til enhver tid gjeldende personvernlovgivning.
Som kunde kan du blant annet be om å få fremlagt dokumentasjon på dette. Du må også inngå en skriftlig databehandleravtale med driftsleverandøren av tjenesten. I tillegg til dette er det også en rekke andre krav å være oppmerksomme på ved behandling av personopplysninger etter GDPR.
En god systemleverandør skal kunne hjelpe deg med å ta gode sikkerhetsmessige avgjørelser gjennom hele kundeforholdet. Det kan med andre ord være lurt å stille sikkerhetsspørsmål som gjelder akkurat din bedrift, allerede når du kartlegger mulige leverandører.
Ved en kontraktsinngåelse og på forespørsel bør du forsikre deg om at systemleverandøren kan gi deg informasjon om underleverandøren som blant annet:
a) Foretaksnavn.
b) Driftssted.
c) Driftsoppgaver, for underleverandører som driftsleverandøren bruker i levering av driftstjenester til virksomheten din.
